TEMPO.CO, Jakarta - PT Bank Syariah Indonesia (Persero) Tbk. atau BSI diduga mengalami serangan ransomware oleh kelompok peretas atau hacker LockBit. Hacker mengklaim telah berhasil mencuri 1,5 terabita data nasabah, dokumen finansial, dokumen legal, perjanjian kerahasiaan, serta password akses internal serta layanan perusahaan.

Sementara itu, data nasabah yang diduga bocor terdiri atas nama, nomor HP, alamat, nomor rekening, saldo rekening rata-rata, riwayat transaksi, pekerjaan, serta tanggal pembukaan rekening.

Akibat serangan ini, layanan ATM dan BSI Mobile lumpuh beberapa hari. Sementara BSI menginformasikan layanan BSI Mobile, baru pulih pada Kamis 11 Mei 2023, sementara layanan ATM telah normal sehari setelah serangan.

“Periode transisi Undang-Undang Perlindungan Data Pribadi memang menjadi masa kritis dalam memastikan kepatuhan pengendali dan prosesor data untuk menerapkan standar pelindungan data pribadi, termasuk juga respon dari otoritas dari setiap insiden yang terjadi,” ujar Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar lewat keterangan tertulis pada Selasa, 16 Mei 2023.

Menurut dia, risiko pembiaran kemungkinan besar terjadi karena aturan peralihan UU Perlindungan Data Pribadi mengharuskan adanya penyesuaian berbagai regulasi terkait pelindungan data pribadi, termasuk kelembagaannya. Apalagi khusus di sektor keuangan dan perbankan, telah ada sejumlah regulasi dan kebijakan yang relatif mature dalam penerapannya.

Regulasi tersebut adalah Peraturan OJK Nomor 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum (POJK PTI), SE OJK Nomor 21/SEOJK.03/2017 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (SE OJK 21/2017), SE OJK Nomor 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum (SE OJK 29/2022).

Selanjutnya: “Berbagai kebijakan itu bersanding dengan...."

<!--more-->

“Berbagai kebijakan itu bersanding dengan sejumlah regulasi terkait sistem elektronik, yang secara khusus mengatur pelindungan data pribadi, seperti PP Nomor 71/2019 tentang Penyelenggaraan Sistem dan Transisi Elektronik (PP PSTE) dan Permenkominfo Nomor 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik,” tutur dia.

Oleh karena itu, kata Wahyudi, dalam masa transisi implementasi UU Perlindungan Data Pribadi, untuk memastikan pelindungan terhadap hak-hak subjek data, semestinya otoritas berwenang tetap merujuk pada sejumlah regulasi di atas. Justru kehadiran UU Perlindungan Data Pribadi dapat menjadi rujukan tambahan dalam mengoptimalkan langkah-langkah pelindungan data pribadi.

Misalnya, dia mencontohkan, mengenai langkah-langkah yang harus dilakukan ketika terjadi kegagalan dalam pelindungan data pribadi, termasuk kewajiban untuk memberikan notifikasi. Mengacu pada regulasi saat ini, merespon kegagalan pelindungan data yang terjadi, BSI sebagai pengendali data setidaknya wajib melakukan beberapa hal.

Pertama, memberikan notifikasi kepada subjek data paling lambat 3x24 jam, termasuk kepada masyarakat mengingat insiden ini terkait dengan layanan publik, mengacu pada Pasal 46 UU Perlindungan Data Pribadi. Problemnya dalam pasal ini memang tidak diatur perihal hitungan 3x24 jam sejak kapan. Tapi menjawab ketidakjelasan ini dapat merujuk pada Permenkominfo 20/2016 dengan menghitung periode setelah insiden.

“Bahkan POJK PTI mewajibkan adanya notifikasi awal paling lambat 1x24 jam serta melaporkan insiden TI tersebut paling lama 5 hari kerja setelah insiden pada OJK,” ucap Wahyudi.

Selanjutnya: Selain itu, Surat Edaran OJK Nomor 29/SEOJK.03/2022....

<!--more-->

Selain itu, Surat Edaran OJK Nomor 29/SEOJK.03/2022 mengamanatkan apabila otoritas lain (Kominfo/BSSN), mengatur jangka waktu penyampaian notifikasi awal dan/atau laporan insiden siber lebih lama dari jangka waktu sebagaimana diatur dalam POJK PTI, maka harus menyampaikan notifikasi awal dan/atau laporan insiden siber kepada OJK.

Kedua, melakukan pemulihan, sebagaimana mengacu pada UU PDP, PP 71/2019, Permenkominfo 20/2016, maupun juga POJK PTI yang mewajibkan lembaga keuangan untuk memiliki rencana pemulihan bencana. Tujuannya memastikan kelangsungan operasional bank tetap berjalan selama insiden.

“BSI harus memastikan rencana penanggulangan dan pemulihan sesuai dengan rencana kelangsungan usaha (business continuity plan), rencana pemulihan bencana (disaster recovery plan), crisis management plan, dan/atau kebijakan atau rencana bank lainnya yang terkait,” kata Wahyudi.

Apalagi mengacu pada ketentuan Pasal 4 ayat (2) UU Perlindungan Data Pribadi, Wahyudi melanjutkan, data keuangan pribadi merupakan bagian dari data pribadi yang spesifik (sensitif) sehingga memerlukan tingkat perlindungan yang lebih tinggi.

“Termasuk ketika terjadi kegagalan dalam perlindungan data, juga memerlukan langkah-langkah khusus dalam penanganannya,” ujar Wahyudi.

Pilihan Editor: Cerita Calon Pembeli Tiket Konser Coldplay: Sudah Tinggal Pembayaran, Terpental Antre Lagi

Ikuti berita terkini dari Tempo di Google News, klik di sini